Как Северная Корея проникла в Криптo

• CoinDesk выявил более десятка Криптo , которые неосознанно нанимали ИТ-специалистов из Корейской Народно-Демократической Республики (КНДР), включая такие хорошо зарекомендовавшие себя блокчейн-проекты, как Injective, ZeroLend, Fantom, SUSHI, Yearn Финансы и Cosmos Hub.
• Работники использовали поддельные удостоверения личности, успешно проходили собеседования, проходили проверки рекомендаций и представляли подлинные истории трудовой деятельности.
• Наем работников из КНДР является противозаконным в США и других странах, которые ввели санкции против Северной Кореи. Это также представляет риск для безопасности: CoinDesk столкнулся с многочисленными примерами компаний, нанимающих ИТ-работников из КНДР, а затем подвергающихся взлому.
• «Все изо всех сил пытаются отфильтровать таких людей», — сказал Заки Маниан, известный разработчик блокчейна, который, по его словам, непреднамеренно нанял двух ИТ-специалистов из КНДР для помощи в разработке блокчейна Cosmos Hub в 2021 году.

Криптo компания Truflation все еще находилась на ранней стадии развития в 2023 году, когда ее основатель Стефан Раст неосознанно нанял своего первого сотрудника из Северной Кореи.

«Мы всегда искали хороших разработчиков», — сказал Раст из своего дома в Швейцарии. «И вдруг, как гром среди ясного неба, этот ONE перешел черту».

«Рюхэй» отправил свое резюме через Telegram и заявил, что он из Японии. Вскоре после того, как его наняли, начали всплывать странные несоответствия.

В какой-то момент «я разговаривал с парнем, и он сказал, что попал в землетрясение», — вспоминает Раст. Только вот недавнего землетрясения в Японии не было. Потом сотрудник начал пропускать звонки, а когда он появлялся, «это был T он», — сказал Раст. «Это был кто-то другой». Кто бы это ни был, он избавился от японского акцента.

Раст вскоре Словарь , что «Рюхэй» и еще четверо сотрудников — более трети всей его команды — были северокорейцами. Невольно Раст стал жертвой скоординированной схемы Северной Кореи по обеспечению своих людей удаленными рабочими местами за рубежом и переправке доходов обратно в Пхеньян.

Власти США в последнее время усилили свои предупреждения о том, что северокорейские специалисты в области информационных Технологии (ИТ) проникают в технологические компании, включая Криптo , и используют полученные средства для финансирования программы ядерного оружия этого государства-изгоя. Согласно Отчет ООН за 2024 годЭти ИТ-работники приносят режиму Ким Чен Ына до 600 миллионов долларов в год.

Наем и оплата труда рабочих — даже непреднамеренно — нарушает санкции ООН и является незаконным в США и многих других странах. Это также представляет серьезную угрозу безопасности, поскольку северокорейские хакеры известны тем, что атакуют компании через тайных работников.

Расследование CoinDesk теперь показывает, насколько агрессивно и часто соискатели работы в Северной Корее нацеливаются именно на Криптo — успешно проходя собеседования, проходя проверки рекомендаций и даже представляя впечатляющие истории вклада в код в репозитории программного обеспечения с открытым исходным кодом GitHub.

CoinDesk пообщался с более чем десятком Криптo , которые заявили, что они непреднамеренно наняли ИТ-специалистов из Корейской Народно-Демократической Республики (КНДР), как официально называется эта страна.

Эти интервью с основателями, исследователями блокчейна и отраслевыми экспертами показывают, что северокорейские ИТ-работники гораздо более распространены в Криптo , чем считалось ранее. Практически каждый менеджер по найму, к которому обратился CoinDesk для этой истории, признал, что они проводили собеседования с предполагаемыми северокорейскими разработчиками, нанимали их непреднамеренно или знали кого-то, кто это делал.

«Процент входящих резюме или людей, ищущих работу или желающих внести свой вклад — всего этого — которые, вероятно, из Северной Кореи, превышает 50% во всей Криптo », — сказал Заки Маниан, известный разработчик блокчейнов, который, по его словам, непреднамеренно нанял двух ИТ-специалистов из КНДР для помощи в разработке блокчейна Cosmos Hub в 2021 году. «Все изо всех сил пытаются отфильтровать этих людей».

Среди невольных работодателей из КНДР, выявленных CoinDesk, было несколько хорошо зарекомендовавших себя блокчейн-проектов, таких как Cosmos Hub, Injective, ZeroLend, Fantom, SUSHI и Yearn Финансы. «Все это происходило за кулисами», — сказал Маниан.

Это расследование стало первым случаем, когда какая-либо из этих компаний публично признала, что они непреднамеренно наняли ИТ-специалистов из КНДР.

Во многих случаях северокорейские рабочие выполняли свою работу так же, как и обычные сотрудники; так что работодатели в основном получали то, за что платили, в некотором смысле. Но CoinDesk обнаружил доказательства того, что рабочие впоследствии переводили свою зарплату на блокчейн-адреса, связанные с северокорейским правительством.

Расследование CoinDesk также выявило несколько случаев, когда Криптo , в которых работали IT-специалисты из КНДР, впоследствии становились жертвами взломов. В некоторых из этих случаев CoinDesk удалось напрямую LINK ограбления с предполагаемыми IT-специалистами из КНДР, работающими в компании. Так было в случае с SUSHI, известным децентрализованным Финансы протоколом, который потерял 3 миллиона долларов в результате взлома в 2021 году.

Управление по контролю за иностранными активами (OFAC) Министерства финансов США иМинистерство юстиции начало публиковать информацию о попытках Северной Кореи проникнуть в Криптo США в 2022 году. CoinDesk обнаружил доказательства того, что ИТ-специалисты КНДР начали работать в Криптo под поддельными именами задолго до этого, по крайней мере еще в 2018 году.

«Многие люди, я думаю, ошибочно полагают, что это что-то новое, что произошло внезапно», — сказал Маниан. «У этих людей есть аккаунты GitHub и другие вещи, которые, например, восходят к 2016, 2017, 2018 годам». (GitHub, принадлежащий Microsoft, — это онлайн-платформа, которую многие организации, занимающиеся разработкой программного обеспечения, используют для размещения кода и позволяют разработчикам сотрудничать.)

CoinDesk связал ИТ-работников КНДР с компаниями, используя различные методы, включая записи платежей в блокчейне, публичные вклады кода GitHub, электронные письма от должностных лиц правительства США и интервью напрямую с целевыми компаниями. ONE из крупнейших северокорейских платежных сетей, изученных CoinDesk , была раскрыта ZachXBT, исследователем блокчейна, который опубликовал список подозреваемых разработчиков из КНДРв августе.

Раньше работодатели молчали из-за опасений нежелательной огласки или юридических последствий. Теперь, столкнувшись с обширными платежными записями и другими доказательствами, обнаруженными CoinDesk, многие из них решили впервые выступить и поделиться своими историями, разоблачив ошеломляющий успех и масштаб усилий Северной Кореи по проникновению в Криптo .

Поддельные документы

После найма Рюхея, якобы японского сотрудника, Rust's Truflation получила поток новых кандидатов. Всего за несколько месяцев Rust невольно нанял еще четырех разработчиков из КНДР, которые заявили, что они работают в Монреале, Ванкувере, Хьюстоне и Сингапуре.

Криптo сектор особенно подходит для саботажа со стороны северокорейских ИТ-специалистов. Рабочая сила особенно глобальна, и Криптo , как правило, чувствуют себя более комфортно, чем другие, нанимая полностью удаленных — даже анонимных — разработчиков.

CoinDesk проанализировал заявления о приеме на работу в КНДР, которые Криптo получили из разных источников, включая платформы обмена сообщениями, такие как Telegram и Discord, специализированные доски объявлений о вакансиях в криптовалютной сфере, такие как Криптo Jobs List, и сайты по найму, такие как Indeed.

«Где им больше всего везет с наймом, так это в действительно свежих, новых командах-выскочках, которые готовы нанимать людей из Discord», — сказал Тейлор Монахан, менеджер по продукту в приложении Криптo кошелька MetaMask, который часто публикует исследования безопасности, связанные с северокорейской Криптo активностью. «У них T процессов найма людей с проверкой биографических данных. Они готовы платить Криптo много раз».

Раст сказал, что он провел собственные проверки биографий всех новых сотрудников Truflation. «Они прислали нам свои паспорта и ID , предоставили нам репозитории GitHub, прошли тестирование, а затем, по сути, мы их приняли».

На первый взгляд большинство поддельных документов неотличимы от настоящих паспортов и виз, хотя эксперты сообщили CoinDesk , что профессиональные службы проверки биографических данных, скорее всего, смогли бы их обнаружить.

Хотя стартапы реже прибегают к услугам профессиональных проверяющих, «мы видим северокорейских ИТ-специалистов и в крупных компаниях, либо в качестве постоянных сотрудников, либо, по крайней мере, в качестве подрядчиков», — говорит Монахан.

Прячется на виду

Во многих случаях CoinDesk обнаруживал ИТ-специалистов из КНДР в компаниях, использующих общедоступные данные блокчейна.

В 2021 году Маниану, разработчику блокчейна, понадобилась помощь в его компании Iqlusion. Он искал внештатных кодеров, которые могли бы помочь с проектом по обновлению популярного блокчейна Cosmos Hub. Он нашел двух рекрутов; они справились.

Маниан никогда не встречался с фрилансерами «Джун Кай» и «Саравут Санит» лично. Ранее они работали вместе над проектом программного обеспечения с открытым исходным кодом, финансируемым THORChain, тесно связанной блокчейн-сетью, и они сказали Маниану, что находятся в Сингапуре.

«Я разговаривал с ними почти каждый день в течение года», — сказал Маниан. «Они выполнили работу. И я был, честно говоря, очень доволен».

Через два года после того, как фрилансеры завершили свою работу, Маниан получил электронное письмо от агента ФБР, расследующего переводы токенов, которые, как оказалось, шли от Iqlusion по пути на предполагаемые северокорейские адреса Криптo кошельков. Спорные переводы оказались платежами Iqlusion Каю и Саниту.

ФБР так и не подтвердило Маниану, что нанятые им разработчики были агентами КНДР, но проверка CoinDesk адресов блокчейна Кая и Санита показала, что в течение 2021 и 2022 годов они перечисляли свои доходы двум лицам, включенным в санкционный список OFAC:Ким Сан Ман и Сим Хён Соп.

По данным OFACСим является представителем Kwangson Banking Corp, северокорейского банка, который отмывает средства ИТ-специалистов, чтобы помочь «Финансы программы КНДР по созданию оружия массового поражения и баллистических ракет». Саравут, по-видимому, направил все свои доходына SIM-карту и другие блокчейн-кошельки, привязанные к SIM-карте.

Кай, тем временем,перенаправлено около 8 миллионов долларовнапрямую Ким. СогласноКонсультации OFAC 2023 г.Ким является представителем управляемой КНДР компании Chinyong Information Технологии Cooperation Company, которая «через компании, находящиеся под ее контролем, и их представителей нанимает делегации ИТ-специалистов КНДР, которые работают в России и Лаосе».

Заработная плата Iqlusion Каю составила менее 50 000 долларов из почти 8 миллионов долларов, которые он отправил Киму, а часть оставшихся средств поступила от других Криптo компаний.

Например, CoinDesk обнаружил платежи от Fantom Foundation, который разрабатывает широко используемый блокчейн Fantom , «Джун Каю» и другому разработчику, связанному с КНДР.

«Fantom действительно идентифицировал двух внешних сотрудников, связанных с Северной Кореей в 2021 году», — сообщил представитель Fantom Foundation изданию CoinDesk. «Однако разработчики, о которых идет речь, работали над внешним проектом, который так и не был завершен и не был развернут».

По данным Fantom Foundation, «двое указанных лиц были уволены, никогда не вносили вредоносный код и не имели доступа к кодовой базе Fantom, и ни один пользователь Fantom не пострадал». ONE из сотрудников КНДР попытался атаковать серверы Fantom, но потерпел неудачу, поскольку у него не было необходимого доступа, сообщил представитель.

СогласноБаза данных OpenSanctionsСвязанные с КНДР блокчейн-адреса Кима не публиковались ни одним правительством до мая 2023 года — более чем через два года после того, как Iqlusion и Fantom осуществили свои платежи.

Дана свобода действий

США и ООН санкционировали найм ИТ-специалистов из КНДР в 2016 и 2017 годах соответственно.

Платить северокорейским рабочим в США незаконно, независимо от того, знаете ли вы об этом или нет. Эта правовая концепция называется «строгая ответственность».

При этом T имеет значения, где базируется компания: найм работников из КНДР может повлечь за собой юридические риски для любой компании, ведущей бизнес в странах, которые ввели санкции против Северной Кореи.

Однако США и другие государства-члены ООН до сих пор не привлекли к ответственности Криптo компанию за найм северокорейских ИТ-специалистов.

Министерство финансов США начало расследование в отношении компании Iqlusion, базирующейся в США, однако Маниан утверждает, что расследование завершилось без каких-либо штрафных санкций.

Власти США снисходительно отнеслись к выдвижению обвинений против фирм, в какой-то степени признав, что они стали жертвами в лучшем случае необычайно сложного и изощренного вида мошенничества с использованием персональных данных, а в худшем — длительного мошенничества самого унизительного характера.

Помимо правовых рисков, платить зарплату ИТ-специалистам КНДР также «плохо, потому что вы платите людям, которых режим фактически эксплуатирует», — пояснил Монахан из MetaMask.

По данным Совета Безопасности ООН615-страничный отчет, IT-работники КНДР KEEP лишь небольшую часть своих зарплат. «Те, кто зарабатывает меньше, KEEP 10 процентов, а те, кто зарабатывает больше, могут KEEP 30 процентов», — говорится в отчете.

Хотя эти зарплаты все еще могут быть высокими по сравнению со средними в Северной Корее, «мне T равно, где они живут», — сказал Монахан. «Если я плачу кому-то, а его буквально заставляют отправлять всю зарплату своему боссу, это меня очень смущает. Мне было бы еще более неуютно, если бы их боссом был, знаете ли, северокорейский режим».

В ходе подготовки отчета CoinDesk обращался к нескольким предполагаемым ИТ-специалистам из КНДР, но ответа не получил.

Идти вперед

CoinDesk выявил более двух десятков компаний, которые нанимали возможных IT-работников из КНДР, проанализировав записи платежей в блокчейне организациям, находящимся под санкциями OFAC. Двенадцать компаний, предоставивших записи, подтвердили CoinDesk , что ранее они обнаружили в своих платежных ведомостях предполагаемых IT-работников из КНДР.

Некоторые отказались от дальнейших комментариев, опасаясь юридических последствий, но другие согласились поделиться своими историями в надежде, что другие смогут Словарь из их опыта.

Во многих случаях граждан КНДР оказалось легче идентифицировать после того, как их наняли.

Эрик Чен, генеральный директор Injective, децентрализованного финансового проекта, рассказал, что в 2020 году он нанял внештатного разработчика, но быстро уволил его за неудовлетворительную работу.

«Он T продержался долго», — сказал Чен. «Он писал паршивый код, который T работал». T в прошлом году, когда американское «правительственное агентство» обратилось к Injective, Чен узнал, что сотрудник был связан с Северной Кореей.

Несколько компаний сообщили CoinDesk , что уволили сотрудника, даже не узнав о его связях с КНДР, — например, из-за некачественной работы.

«Молочная зарплата за несколько месяцев»

Однако ИТ-работники КНДР похожи на типичных разработчиков в том, что их способности могут различаться.

С ONE стороны, у вас будут сотрудники, которые «приходят, проходят собеседование и просто выдаивают зарплату за несколько месяцев», — говорит Маниан. «Есть и другая сторона, когда вы встречаете этих людей, их настоящие технические навыки действительно сильны».

Раст вспомнил, что в Truflation был «ONE действительно хороший разработчик», который утверждал, что он из Ванкувера, но оказался из Северной Кореи. «Он был совсем молодым парнем», — сказал Раст. «Казалось, он только что закончил колледж. BIT зеленый на затылке, очень увлеченный, очень взволнованный тем, что работает над возможностью».

В другом случае Cluster, стартап в сфере децентрализованного Финансы , уволил двух разработчиков в августе после того, как ZachXBT предоставил доказательства их связи с КНДР.

«На самом деле, это безумие, как много знали эти ребята», — сказал CoinDesk псевдонимный основатель Cluster z3n. Оглядываясь назад, можно сказать, что были некоторые «явные красные флажки». Например, «каждые две недели они меняли свой платежный адрес, и примерно раз в месяц они меняли свое имя в Discord или Telegram».

Веб-камера выключена

В беседах с CoinDesk многие работодатели заявили, что заметили отклонения, которые стали более понятны, когда они узнали, что их сотрудники, вероятно, являются гражданами Северной Кореи.

Иногда намеки были едва заметными, например, рабочие часы сотрудников T соответствовали их предполагаемому месту работы.

Другие работодатели, такие как Truflation, замечали намеки на то, что сотрудник — это несколько человек, маскирующихся под одного человека, — что сотрудник пытался скрыть, отключая веб-камеру. (Почти всегда это мужчины).

ONE компания наняла сотрудницу, которая появлялась на утренних встречах, но, казалось, забывала все, что обсуждалось позже в тот же день. Эта странность стала более понятной, когда работодатель понял, что она общалась с несколькими людьми.

Когда Раст высказал свои опасения относительно Рюхея, своего «японского» сотрудника, инвестору, имеющему опыт отслеживания преступных платежных сетей, инвестор быстро установил личность четырех других подозреваемых ИТ-работников из КНДР, состоявших на учете у Truflation.

«Мы немедленно разорвали наши связи», — сказал Раст, добавив, что его команда провела аудит безопасности своего кода, улучшила процессы проверки биографических данных и изменила некоторые политики. ONE из новых Политика было требование к удаленным работникам включать свои камеры.

Взлом на 3 миллиона долларов

Многие работодатели, опрошенные CoinDesk , ошибочно полагали, что ИТ-специалисты КНДР действуют независимо от хакерского подразделения Северной Кореи, однако данные блокчейна и беседы с экспертами показывают, что хакерская деятельность режима и ИТ-специалисты часто связаны.

В сентябре 2021 года MISO, платформа, созданная SUSHI для запуска Криптo токенов, потеряла 3 миллиона долларов широко известное ограблениеCoinDesk обнаружил доказательства того, что атака была связана с тем, что Sushi наняла двух разработчиков с записями платежей через блокчейн, связанными с Северной Кореей.

На момент взлома SUSHI была ONE из самых обсуждаемых платформ в развивающемся мире децентрализованных Финансы (DeFi). Более 5 миллиардов долларов было внесено на Sushiswap, который в основном служит «децентрализованной биржей», позволяющей людям обмениваться криптовалютами без посредников.

Джозеф Делонг, тогдашний Технологии директор Sushi, проследил ограбление MISO до двух внештатных разработчиков, которые помогли его создать: лиц, использовавших имена Энтони Келлер и Сава Груич. Делонг сказал, что разработчики, которые, как он теперь подозревает, были одним человеком или организацией, внедрили вредоносный код в платформу MISO, перенаправив средства на контролируемый ими кошелек.

Когда Келлер и Груич заключили контракт с SUSHI DAO, децентрализованной автономной организацией, управляющей протоколом SUSHI , они предоставили учетные данные, которые казались вполне типичными — и даже впечатляющими — для разработчиков начального уровня.

Келлер публично работал под псевдонимом «eratos1122», но когда он подал заявку на работу в MISO, он использовал то, что, по всей видимости, было его настоящим именем, «Энтони Келлер». В резюме, которым Делонг поделился с CoinDesk, Келлер утверждал, что проживает в Гейнсвилле, штат Джорджия, и что он окончил Университет Феникса со степенью бакалавра в области компьютерной инженерии. (Университет T ответил на Request о подтверждении того, был ли выпускник с таким именем.)

Резюме Келлера включало подлинные ссылки на предыдущие работы. Среди самых впечатляющих был Yearn Финансы, чрезвычайно популярный протокол Криптo , который предлагает пользователям способ зарабатывать проценты по ряду готовых инвестиционных стратегий. Бантег, Core разработчик Yearn, подтвердил, что Келлер работал над Coordinape, приложением, созданным Yearn для помощи командам в совместной работе и упрощении платежей. (Бантег говорит, что работа Келлера была ограничена Coordinape, и у него T было доступа к Core кодовой базе Yearn.)

Келлер направил Груича в MISO, и они представились как «друзья», по словам Делонга. Как и Келлер, Груич предоставил резюме со своим предполагаемым настоящим именем, а не сетевым псевдонимом «AristoK3». Он утверждал, что он из Сербии и что он выпускник Белградского университета со степенью бакалавра в области компьютерных наук. Его аккаунт на GitHub был активен, а в резюме был указан опыт работы с несколькими небольшими Криптo и игровыми стартапами.

Рэйчел Чу, бывший Core разработчик SUSHI , тесно сотрудничавшая с Келлером и Груичем до ограбления, заявила, что она «подозрительно отнеслась» к этой паре еще до взлома.

Несмотря на заявления о том, что они находятся в разных частях света ONE от друга, у Груича и Келлера «был одинаковый акцент» и «одинаковая манера писать сообщения», сказала Чу. «Каждый раз, когда мы разговаривали, у них был какой-то фоновый шум, как будто они на фабрике», добавила она. Чу вспомнила, что видела лицо Келлера, но никогда — Груича. По словам Чу, камера Келлера была «приближена», так что она T могла разглядеть, что находится позади него.

Келлер и Груич в конечном итоге прекратили вносить свой вклад в MISO примерно в одно и то же время. «Мы думаем, что Энтони и Сава — это один и тот же человек», — сказал Делонг, «поэтому мы прекращаем им платить». Это был разгар пандемии COVID-19, и не было ничего необычного в том, что удаленные разработчики Криптo маскировались под нескольких человек, чтобы вытянуть дополнительные деньги из фонда заработной платы.

После того, как Келлер и Груич были уволены летом 2021 года, команда SUSHI забыла лишить их доступа к кодовой базе MISO.

2 сентября Груич внедрил вредоносный код на платформу MISO под своим псевдонимом «Aristok3», перенаправив 3 миллиона долларов на новый Криптовалюта кошелек, судя по скриншоту, предоставленному CoinDesk.

Анализ записей платежей в блокчейне, проведенный CoinDesk, указывает на потенциальную LINK между Келлером, Груичем и Северной Кореей. В марте 2021 года Келлер размещено адрес блокчейна в ныне удаленном твите. CoinDesk обнаружены множественные платежи между этим адресом, хакерским адресом Груича и адресами, которые SUSHI имел в файле для Келлера. Внутреннее расследование Sushi в конечном итоге пришло к выводу, что адрес принадлежал Келлеру, по словам Делонга.

CoinDesk обнаружил, что указанный адрес отправлял большую часть средств «Джун Каю» (разработчику Iqlusion, который отправлял деньги Ким Сан Ману, находящемуся под санкциями OFAC) и другому кошельку, который, по-видимому, служит прокси-сервером КНДР (поскольку он также платил Киму).

Внутреннее расследование Sushi подтвердило теорию о том, что Келлер и Груич были северокорейцами. Оно показало, что эта пара часто использовала IP-адреса в России, где, по данным OFAC, иногда базируются северокорейские ИТ-специалисты из КНДР. (Указанный в резюме Келлера номер телефона в США не обслуживается, а его аккаунты на Github и Twitter «eratos1122» удалены.)

Кроме того, CoinDesk обнаружил доказательства того, что SUSHI использовал еще один подозреваемый ИТ-подрядчик из КНДРв то же время, что и Келлер и Груич. Разработчик,идентифицировано ZachXBTкак «Гари Ли», скрывался под псевдонимом LightFury и перенаправлял свои доходы на «Джун Кай» и другой прокси-адрес, связанный с Кимом.

После того, как SUSHI публично обвинил в атаке псевдоним Келлера «eratos1122» и пригрозил привлечь ФБР, Груич вернул украденные средстваХотя может показаться нелогичным, что ИТ-работник КНДР будет беспокоиться о защите поддельной личности, ИТ-работники КНДР, похоже, повторно используют определенные имена и со временем наращивают свою репутацию, участвуя во многих проектах, возможно, как способ завоевать доверие будущих работодателей.

Кто-то мог решить, что защита псевдонима Энтони Келлера в долгосрочной перспективе будет более прибыльной: в 2023 году, через два года после инцидента с SUSHI , некто по имени «Энтони Келлер» подал заявку в Truflation, компанию Стефана Раста.

Попытки связаться с «Энтони Келлером» и «Савой Груичем» для получения комментариев не увенчались успехом.

Грабежи в стиле КНДР

По данным ООН, за последние семь лет Северная Корея украла более 3 миллиардов долларов в Криптовалюта с помощью взломов. Из всех взломов, которые аналитическая фирма Chainalysis отследила в первой половине 2023 года и которые, по ее мнению, связаны с КНДР, «примерно половина из них была связана с кражами, связанными с ИТ-работниками», сказала Мадлен Кеннеди, представитель фирмы.

Кибератаки в Северной Корее T похожи на голливудскую версию хакерства, когда программисты в толстовках с капюшонами взламывают мэйнфреймы, используя сложный компьютерный код и черно-зеленые компьютерные терминалы.

Атаки в стиле КНДР определенно менее технологичны. Обычно они включают в себя некую версию социальной инженерии, когда злоумышленник завоевывает доверие жертвы, которая владеет ключами к системе, а затем извлекает эти ключи напрямую с помощью чего-то столь же простого, как вредоносная LINK в электронной почте.

«На сегодняшний день мы ни разу не видели, чтобы КНДР совершила настоящий эксплойт», — сказал Монахан. «Это всегда: социальная инженерия, а затем компрометация устройства, а затем компрометация закрытых ключей».

Сотрудники ИТ-отделов имеют все возможности для участия в ограблениях КНДР, либо извлекая личную информацию, которая может быть использована для саботажа потенциальной цели, либо получая прямой доступ к программным системам, переполненным цифровыми деньгами.

Серия совпадений

25 сентября, когда эта статья уже была готова к публикации, CoinDesk запланировал видеозвонок с Rust из Truflation. План состоял в том, чтобы проверить некоторые детали, которыми он поделился ранее.

Взволнованный Раст присоединился к звонку с опозданием в 15 минут. Его только что взломали.

CoinDesk связался с более чем двумя десятками проектов, которые, как оказалось, были обмануты, наняв IT-специалистов из КНДР. Только за последние две недели отчетности были взломаны два из этих проектов: Truflation и приложение для заимствования Криптo под названием Дельта PRIME.

Пока еще слишком рано говорить о том, был ли взлом напрямую связан с непреднамеренным наймом ИТ-специалистов из КНДР.

Дельта PRIME был нарушен первым, 16 сентября. Ранее CoinDesk непокрытые платежи и вклады кода соединяющий Delta PRIME с Наоки Мурано, ONE из разработчиков, связанных с КНДР разрекламированныйот ZachXBT, псевдонимного блокчейн-сыщика.

Проект потерял более 7 миллионов долларов,официально потому что «скомпрометированного закрытого ключа». Delta PRIME не ответила на многочисленные просьбы прокомментировать ситуацию.

Взлом Truflation последовал менее чем через две недели. Раст заметил, что средства утекают из его Криптo примерно за два часа до звонка с CoinDesk. Он только что вернулся домой из поездки в Сингапур и пытался понять, что он сделал не так. «Я просто не понимаю, как это произошло», — сказал он. «Все мои блокноты были заперты в сейфе в стене в моем отеле. Все это время я носил с собой мобильный телефон».

Миллионы долларов уходили с личных блокчейн-кошельков Раста, пока он говорил. «Я имею в виду, это действительно отстой. Это школа моих детей; пенсионные взносы».

Труфляция и ржавчинав конечном итоге потерялоколо $5 млн. Официальной причиной была названа кража закрытого ключа.